Уязвимост, съществувала от 2000 г. в няколко версии на офис

Уязвимост, съществувала от 2000 година в няколко версии на офис пакета на Microsoft бе “закърпена” от компанията. Според откриватели тя е разрешавала на злоумишленици да започват случаен код на компютъра на жертвата си, без да са нужни каквито и да е дейности нейна страна.

Прочетете още: Microsoft разгласи Office 2019, в случай че не желаете да плащате за Office 365

В рамките на програмата за регулярни ъпдейти Patch Tuesday компанията поправи общо 53 уязвимости. Една от тях е CVE-2017-11882 и както проличава е съществувала във всички версии на Office от 2000 година насам.

Проблемът касае инструмента за математически формули Microsoft Equation Editor (файлът eqnedt32.exe), който разрешава те да бъдат добавяни като динамични OLE обекти да вземем за пример в Word документи.

Според откриватели от компанията Embedi интсрументът се употребява в Office от края на 2000 година Въпреки че през 2007-ма година в пакета е прибавен нов редактор за формули, упоменатата версия е съхранена за обезпечаване на противоположна съгласуемост със остарели документи.

При потребление Equation Editor започва личен развой, отвън единния подобен на Office, и не се възползва от защитните средства на пакета, добавени в последните му версии. Специалистите от Embedi са разкрили в него две неточности, свързани с препълване на буфера.

Чрез потребление на особено готови OLE обекти Equation Editor може да извършва случайни команди, включително събаряне на файлове от външни източници и да започва код, заобикаляйки отбраните на Windows.

За отбрана от слабостта потребителите би трябвало да си конфигурират ъпдейтите KB2553204, KB3162047, KB4011276 и KB4011262.